První mezinárodní standard pro certifikaci GDPR je zde

Rok po zahájení platnosti GDPR se zájem obrátil na získání certifikace pro ochranu osobních údajů. Příběh spol., která již získala certifikaci a vy můžete také!

ISO 27701 GDPR compliance

V dnešní době jsme mnohem více, než kdy jindy propojeni. Vygooglovali jste si, co vše o vás svět ví? A web je jen jedna z mnoha vrstev narůstajících databází, které tvoří státní útvary, i soukromé organizace za účelem sledování vašich zájmů, vyhodnocování bonity, poskytování telco a bankovních služeb, ovlivňování mínění atd... 

A to sebou nese nejenom pohodlí, ale i značná rizika.

Informace o nás všech jsou dnes jedny z nejcennějších aktiv. Proto roste i počet kybernetických útoků. Ten se za poslední roky zdvojnásobil. Citlivá data představují stále větší hrozbu v globální stabilitě.

Není překvapením, že svět reaguje. Zavádějí se nové zákony a předpisy, které snižují rizika a chrání soukromí v digitálním světě. Evropská i celosvětová iniciativa tak vydala v posledních letech hned 2 klíčové předpisy.

  • eIDAS - Standard pro elektronické podpisy
  • GDPR - Nařízení o ochraně osobních údajů

Jak tedy mohou organizace zpracovávat data, dodržovat zákony a zároveň se dostatečně chránit před zneužitím, pokutami a v případě narušení být připraven na neprůstřelnou obhajobu před kontrolním orgánem, kterým je v ČR ÚOOÚ?

Odpovědí je: 

Celosvětově první mezinárodní standard, který pomáhá organizacím zpracovávat informace a zároveň dodržovat regulační požadavky.

Ochrana digitální identity a osobních údajů začíná být naprostou prioritou pro většinu firem. Podle průzkumu spol. IBM jsou průměrné náklady spojené se ztrátou soukromé identity (data breach) přes 80mil. korun plus právní dopady. A lze počítat s tím, že zákony budou ještě přísnější.

S tím, jak jsou naše osobní údaje a identity obecně stále více propojována do identifikačních nástrojů, databází a registrů snaží se vlády na celém světě zavádět různá opatření, jako je např. Nařízení o ochraně osobních údajů - GDPR, které je plošně povinné pro všechny společnosti, resp. i ty mimo EU.

A nové mezinárodních ISO normy na tuto situaci reagují tím, že vytvářejí standardizované návody, jak tyto požadavky splnit, bez ohledu na jurisdikci, ve které se pracujete.

Přesně o tom je nová norma ISO/IEC 27701

ISO/IEC 27701 Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines, specifies the requirements for establishing, implementing, maintaining and continually improving a privacy-specific information security management system (PIMS).

V překladu standard pro správu informací o ochranu osobních údajů. Norma obsahuje principy a doporučení, specifikuje požadavky na

  • zřízení ochrany osobních údajů
  • implementaci, údržbu a neustálé zlepšování systému řízení 
  • správné nastavené a řízení ochrany osobních údajů resp. (PIMS).

Předseda technické komise Andreas Wolf, která tuto ISO/IEC normu vyvinula sám definuje, že tento standard pomáhá organizacím nejenom splnit legislativní povinnost, ale také společenskou potřebu chránit si své soukromí. 

Mezi další aktivní členy, kteří se podíleli na vývoji tohoto standardu je i Microsoft, který požadavky normy zahrnul do svých produktů Azure a Office 365 a celá řada dalších expertů, bezpečnostních agentur, univerzit a státních organizací.

ISO 27701 školení + certifikace

Co je vlastně ISO/ IEC 27701?

Je to norma založená na požadavcích, principech, postupech a pravidlech pro řízení informační bezpečnosti ISO 27001. Tuto normu doplňuje, resp. jde o rozšíření požadavků na ochranu soukromí osobních údajů. 

Norma ISO 27001 definuje kritéria a požadavky na ISMS (Information Security Management System), resp. systém řízení informační bezpečnosti. Jde o tzv. “risk based approach”, tedy přístup řízení bezpečnosti na základě proaktivního řízení rizik.

Jde o komplexní systém, který definuje požadavky jak mají vypadat procesy, pracovat technologie a jak se mají chovat zainteresovaní lidé. Dle této normy jde i získat certifikaci na celou organizaci od nezávislého certifikačního orgánu TAYLLORCOX. Vydaný certifikát deklaruje, že společnost úspěšně absolvovala audit, který potvrdil, že data a informace jsou dostatečně zabezpečena.

A právě organizace, které implementují normu ISO 27001 využijí nový standard ISO 27701 jako manuál k rozšíření bezpečnostních opatření o zpracování osobních údajů tak, aby dosáhli souladu s nařízením GDPR a zákonem  na ochranu osobních údajů. 

ISO/IEC 27701 definuje principy, procesy a dává vodítko všem, kteří chtějí zajistit trvalé zlepšování ochrany dat.

V případě, že máte zájem získat certifikaci GDPR Compliance, resp. mezinárodní certifikát shody s ochranou osobních údajů, začněte zde:

ISO 27001 Certifikace


  • 25. 08. 2019
  • 62×